Server数据服务安全漏洞导致数十个源码库外泄

Wiz 科学研究项目组在 Azure 数据服务中检验到两个不安全可靠的预设犯罪行为，该犯罪行为曝露了采用Local Git布署的用 PHP、Python、Ruby 或 Node 撰写的顾客插件的源码。Wiz 项目组将该恶意软件重新命名为NotLegit，并表示而此恶意软件自 2017 年 9 月年来就始终存有，很可能将早已被借助。

Wiz 于 2021 年 10 月 7 日向谷歌调查报告了那个安全可靠恶意软件。谷歌各方面在 12 月 7 日至 15 日前夕向许多受负面影响轻微的采用者推送了预警电子邮件，现阶段该恶意软件早已获得减轻；但除了少部分采用者可能将仍处于信用风险之中，提议尽量少采行安全可靠措施。

依照如是说，Azure App Service（也称作 Azure Web Apps），是两个如前所述云计算的网络平台，用作代销中文网站和 Web 插件。有多种不同方式能将源码和钻孔布署到 Azure App Service，Local Git 是当中众所周知。采用者透过 Azure App Service 罐子开启 Local Git 库房，并将标识符间接推送到伺服器上。

问题在于，在采用 Local Git 布署方式布署到 Azure App Service 时，git 存储库是在任何人都能间接访问的目录 (/home/site/wwwroot) 中创建的；Wiz 将此举称作谷歌的两个怪癖。而为了保护采用者的文件，谷歌会在公共目录内的 .git 文件夹中添加了两个”web.config”文件，以限制公共访问。但是，只有谷歌的 IIS 网络伺服器能处理”web.config”文件。因此对于同样采用 IIS 布署的 C 或ASP.NET插件，此减轻措施是有效的。

但对 PHP、Node、Ruby 和 Python 这些布署在不同 Web 伺服器（Apache、Nginx、Flask 等）中的应用而言，而此减轻措施就会无效，从而导致容易受到攻击。基本上，攻击者所要做的是从目标插件中获取”/.git”目录，并检索其源码。

负面影响范围包括：

• 自 2017 年 9 月起，在 Azure 数据服务中采用Local Git布署的所有 PHP、Node、Ruby 和 Python 应用。

• 自 2017 年 9 月起，在应用罐子中创建或修改文件后，采用 Git 源码布署在 Azure 数据服务中的所有 PHP、Node、Ruby 和 Python 应用。

对此，Microsoft 安全可靠响应中心在一份公告中回应称，Wiz 调查报告的而此问题导致顾客可能将会无意中配置要在内容根目录中创建的 .git 文件夹，从而使他们面临信息外泄的信用风险。

这与配置为提供静态内容的插件结合采用时，会使得其他人能下载不打算公开的文件。我们早已通知了我们认为因此而面临信用风险的有限的一部分顾客，我们将继续与我们的顾客合作，确保他们的插件的安全可靠。

Customer Impact：

• 在内容根目录中创建或修改文件后采用 Local Git 布署插件的 App Service Linux 顾客会受到负面影响。

• PHP、Node、Python、Ruby 和 Java 插件编码以提供静态内容：

  • PHP：用作 PHP 运行时的图像被配置为在内容根文件夹中提供所有静态内容。谷歌各方面早已更新了所有 PHP 图像，禁止将 .git 文件夹作为静态内容提供，作为纵深防御措施。

  • Node、Python、Java 和 Ruby：对于这些语言，由于插件标识符控制它是否提供静态内容，谷歌提议顾客检查标识符，以确保只有相关的标识符被提供出来。

不过，并非所有 Local Git 采用者都受到了负面影响。在插件中创建文件后，透过 Local Git 将标识符布署到 App Service Linux 的采用者是唯一受负面影响人群。且 Azure App Service Windows 不受负面影响，因为它在如前所述 IIS 的环境中运行。

谷歌为此采行的具体解决措施为：

• 更新了所有 PHP 图像以禁止将 .git 文件夹作为静态内容提供，作为纵深防御措施。

• 通知因激活本地布署而受到负面影响的顾客，并提供有关如何减轻问题的具体指导。还通知了将 .git 文件夹上传到内容目录的顾客。

• 更新了安全可靠提议文档，增加了有关保护源码的部分。同时更新了本地布署的文档。

由于调查报告了而此恶意软件，Wiz 各方面还获得了来自谷歌的 7500 美元赏金，但该公司计划将这笔资金捐献出去。